Chinesisches Botnetz Volt Typhoon zerschlagen

B2B Cyber Security ShortNews

Beitrag teilen

Die US-Regierung gab bekannt, das Botnetz des Bedrohungsakteurs Volt Typhoon unterbrochen zu haben, welches dieser für Angriffe auf kritische Infrastrukturen in den Vereinigten Staaten und anderen Ländern nutzte.

Eine im Dezember 2023 von der amerikanischen Justiz genehmigte Operation hat ein Botnetz aus Hunderten von in den USA ansässigen Routern für kleine Büros/Heimbüros (SOHO) zerstört, die von staatlich geförderten Hackern der Volksrepublik China (VRC) gekapert wurden.

Volt Typhoon attackierte kritische Infrastruktur

Die Hacker, die in der Privatwirtschaft als „Volt Typhoon“ bekannt sind, nutzten private SOHO-Router, die mit der Malware „KV Botnet“ infiziert waren, um den Ursprung weiterer Hacking-Aktivitäten gegen US-amerikanische und andere ausländische Opfer aus der Volksrepublik China zu verschleiern. Zu diesen weiteren Hacking-Aktivitäten gehörte eine Kampagne gegen kritische Infrastrukturorganisationen in den Vereinigten Staaten und anderen Orten in der Welt. Im Mai 2023 wurden diese Angriffe Gegenstand einer Mitteilung des FBI, der National Security Agency, der Cybersecurity and Infrastructure Security Agency (CISA) und ausländischer Partner. Dieselbe Aktivität war im Mai und Dezember 2023 Gegenstand von Empfehlungen für Partner aus dem Privatsektor sowie einer zusätzlichen „Secure by Design“-Warnung, die heute von CISA veröffentlicht wurde.

„Die Zerschlagung des KV-Botnetzes durch das FBI ist ein klares Signal dafür, dass das FBI entschlossene Maßnahmen ergreifen wird, um die kritische Infrastruktur unseres Landes vor Cyberangriffen zu schützen“, sagte der zuständige Spezialagent Douglas Williams vom FBI-Außenbüro in Houston. „Indem sichergestellt wird, dass Heim- und Kleinunternehmens-Router nach Ablauf ihrer Lebensdauer ausgetauscht werden, können normale Bürger sowohl ihre persönliche Cybersicherheit als auch die digitale Sicherheit der Vereinigten Staaten schützen.“

Kommentar von Google Mandiant

„Volt Typhoon konzentriert sich darauf, kritische Infrastrukturen (KTITIS), wie beispielsweise Wasseraufbereitungsanlagen, Stromnetze usw. ins Visier zu nehmen. Indem der Akteur unter dem Radar fliegt, arbeitet er hart daran, Spuren zu reduzieren, mit denen wir ihre Aktivitäten über die Netzwerke verfolgen können. Die Gruppierung nutzt kompromittierte Systeme, um unbemerkt Zugriff auf normale Netzwerkaktivitäten zu erhalten und ändert dabei ständig die Quelle ihrer Aktivitäten. Sie vermeidet die Verwendung von Malware, da diese einen Alarm auslösen und uns etwas Handfestes liefern könnte. Derartige Aktivitäten zu verfolgen, ist äußerst schwierig, aber nicht unmöglich. Mandiant und Google konzentrieren sich darauf, dem Akteur einen Schritt voraus zu sein und arbeiten dabei eng mit Kunden und Partnern zusammen.

Auch Russland sucht die Lücken

Es ist nicht das erste Mal, dass kritische US-Infrastrukturen auf diese Weise angegriffen werden. Bei mehreren Gelegenheiten wurden russische Geheimdienstakteure inmitten ähnlicher Operationen entdeckt, die schließlich aufgedeckt wurden. Derartige Operationen sind gefährlich und anspruchsvoll, aber nicht unmöglich.

Der Zweck von Volt Typhoon war es, sich unbemerkt für einen Eventualfall vorzubereiten. Glücklicherweise ist Volt Typhoon nicht unbemerkt geblieben, und auch wenn die Jagd eine Herausforderung ist, adaptieren wir uns, um die Sammlung von Informationen zu verbessern und diesen Akteur zu vereiteln. Wir sehen ihre Schritte voraus, wir wissen, wie wir sie identifizieren können, und vor allem wissen wir, wie wir die Netzwerke, auf die sie abzielen, härten.“ – Sandra Joyce, VP, Mandiant Intelligence – Google Cloud.

Mehr bei Justice.gov

 

Passende Artikel zum Thema

Cybergefahr Raspberry Robin

Ein führender Anbieter einer KI-gestützten, in der Cloud bereitgestellten Cyber-Sicherheitsplattform, warnt vor Raspberry Robin. Die Malware wurde erstmals im Jahr ➡ Weiterlesen

Neue Masche Deep Fake Boss

Anders als bei klassischen Betrugsmaschen wie der E-Mail-gestützten Chef-Masche, greift die Methode  Deep Fake Boss auf hochtechnologische Manipulation zurück, um ➡ Weiterlesen

Einordnung der LockBit-Zerschlagung

Den europäischen und amerikanischern Strafverfolgungsbehörden ist es gelungen, zwei Mitglieder der berüchtigten LockBit-Gruppierung festzunehmen. Dieser wichtige Schlag gegen die Ransomware-Gruppe ➡ Weiterlesen

Die Bumblebee-Malware ist wieder da

Die Bumblebee-Malware wird nach mehrmonatiger Abwesenheit wieder von Cyberkriminellen eingesetzt. IT-Sicherheitsexperten konnten kürzlich eine E-Mail-Kampagne identifizieren, die die Marke des ➡ Weiterlesen

Microsoft Defender lässt sich austricksen

In Microsofts Virenschutzprogramm Defender steckt eine Komponente, die eine Ausführung von Schadcode mithilfe von rundll32.exe erkennen und unterbinden soll. Dieser ➡ Weiterlesen

Ransomware-Attacke auf IT-Dienstleister

Ein in Schweden stationiertes Rechenzentrum des finnischen IT-Dienstleisters Tietoevry wurde kürzlich mit Ransomware angegriffen. Zahlreiche Unternehmen, Behörden und Hochschulen sind ➡ Weiterlesen

FBI, Europol, NCA: APT-Gruppe LockBit zerschlagen!

Nach den Angaben der Behörden haben Europol, das FBI und die britische NCA die APT-Gruppe LockBit zerschlagen. Zumindest hat sie ➡ Weiterlesen

Bedrohungspotenzial durch staatliche Akteure

Das Ausmaß der aktuellen Bedrohungslage veranschaulicht ein Cyberangriff, der sich vor kurzem in der Ukraine ereignet hat. Laut dem staatlichen ➡ Weiterlesen